Engagements RGPD

AppScho a choisi de ne pas désigner de Data Protection Officer, pour de simples raisons organisationnelles. AppScho reste cependant totalement en accord avec le RGPD et toutes ses obligations. Le service de Protection des Données d'AppScho peut être contacté sur privacy@appscho.com.

Dans la suite de ce document, la notion de Data Protection Officer ne désigne pas la personne officiellement désignée à ce poste, mais le service de Protection des Données d'AppScho.

AppScho a mis en place les outils nécessaires afin de respecter et journaliser les demandes de droits d'accès et de droit à l'oubli.

Un établissement peut nous communiquer les demandes qui lui ont été soumises par ses utilisateurs, et AppScho leur transmettra la réponse à leur requête sous 7 jours. Il sera admis que l'établissement (le contrôleur des données) aura fait les opérations nécessaires de vérification de l'identité de demandeur a priori.

AppScho ne stockant aucune données personnelle excepté les journaux d'accès, le droit à la rectification n'est pas applicable pour notre service application mobile. Il l'est cependant sur notre service d'administration My AppScho, destiné aux administrateurs de l'établissement.

Les infrastructures d'AppScho sont conçus pour garantir la sécurité, la confidentialité et l'isolation des contextes clients, et donc des données personnelles traitées. Les éléments logiciels effectuant l'interconnexion avec les systèmes informatiques des établissements (et donc la récupération et le traitement des données personnelles) sont opérés depuis des systèmes démunis de toute capacité d'administration à distance.

Les systèmes qui permettent une administration à distance le sont à travers des méthodes de connexion sécurisées et chiffrées, depuis des adresses IP fixes, et authentifiés grâce à des méthodes respectant l'état de l'art en matière de cryptographie numérique (Elliptic Curves).

Au sein d'AppScho, seuls les personnels autorisés et nécessitant un accès à ces systèmes à des fins d'opérations ou de garantie de respect de la RGPD peuvent s'y connecter (équipe systèmes et réseaux, Data Protection Officer) ; les développeurs et autres employés n'ont aucun accès à ces systèmes. Même au sein de ces personnels autorisés, un système de gestion des droits d'accès est appliqué afin de limiter les pouvoirs de chaque individus en fonction des besoin nécessaires à la réalisation de ses fonctions.

Les utilisateurs finaux ne se connectent, en aucune capacité, directement aux systèmes possédant les accès aux infrastructures des établissements, et ne peuvent donc en aucun cas abuser de ces accès. Chaque connexion depuis un appareil mobile passe à travers deux couches d'infrastructures filtrant et reroutant les flux utilisateurs.

AppScho est une suite de logiciels propriétaires en sources fermées, dont la conception fait l'objet de garanties de provenance et de qualité.

Chaque modification apportée à un code source relatif à AppScho est authentifiée et signée à l'aide d'identités cryptographiques unipersonnelles respectant l'état de l'art (clés RSA et GPG), et passe à travers un processus de revue de code a priori de leur intégration dans des systèmes de production.

Chaque modification est journalisée et permet la traçabilité interne de chaque modification.

Toutes les communications réseau gérées par AppScho sont chiffrées de bout en bout lors du transit sur des réseaux publics à l'aide d'SSL/TLS. Nos engagements de compatibilité avec des appareils mobile anciens (afin de garantir une couverture maximale de la population étudiante), nous ne pouvons pas fournir une utilisation garantie de l'état de l'art en matière de protocoles et algorithmes SSL/TLS utilisés, même s'il seront préférés.

Les communications réseau entre AppScho et un tiers (que ce soit l'établissement ou un sous-traitant) utilisent les mêmes procédés, dans la mesure du possible. Il est de la responsabilité de l'établissement de fournir des connexions sécurisées avant le 25 mai 2018. En revanche, AppScho s'assurera, avant la date de mise en application de la RGPD, que tous ses sous-traitants proposent une telle connexion, et prendra les mesures nécessaires, le cas échéant.

Tous les services internes utilisés par les personnels d'AppScho utilisent les mêmes procédés de sécurisation des communications réseau.

La politique de stockage des données personnelles d'AppScho est très conservatrice. A l'exception des journaux d'accès et des statistiques d'utilisation décrites ci-dessous, aucune donnée personnelle n'est stockée par AppScho. La situation particulière des sous-traitants sera explicitée dans la section leur étant dédiée.

L'appareil mobile de l'utilisateur est susceptible de stocker des données personnelles localement à des fins de cache. Il est important de noter que seules les informations relatives à l'étudiant présentement connecté sont stockées, et qu'AppScho n'a aucun accès à celles-ci.

Les données fournies par les administrateurs de l'établissement à travers une des plateformes Web d'AppScho sont conservées afin de garantir la continuité de service et les obligations légales. Ces données peuvent contenir, mais ne sont pas limitées à, les informations de connexion (adresse email, mot de passe hashé, nom et actions) des administrateurs de la plateforme, les messages envoyées par l'administration aux utilisateur de l'Application ou encore les contenus statiques mis à disposition dans l'Application. Ces données peuvent être conservées jusqu'à 5 ans après la rupture contractuelle.

AppScho indexe et conserve des journaux d'accès à ses infrastructures. Les accès à ces données est réservé à l'équipe Systèmes et Réseaux et au Data Protection Officer, dans le cadre de sa mission. Les journaux d'accès sont conservés pendant six mois (un décalage de quelques jours peut être remarqué). Les données personnelles contenues dans ces journaux d'accès sont les suivantes :

• Nom d'utilisateur (il peut s'agir d'un identifiant numérique, d'un identifiant contenant le nom de l'utilisateur, ou de l'adresse email)
• Adresse IP de connexion
• Identifiant généré aléatoirement pour son appareil mobile

Des procédures sont en place chez AppScho afin de répondre rapidement aux demandes d'accès et de suppression des données personnelles par les sujets à qui elles correspondent. Les demandes peuvent être adressées par l'établissement au Data Protection Officer.

AppScho recueille également des données statistiques sur les appareils mobiles, à travers deux canaux différents :

• Via un logiciel hébergé par AppScho, pour lequel nous transmettons des données personnelles (adresse IP) mais ne la stockons pas (la ville et le pays sont dérivés à partir de celle-ci). Des statistiques non nominatives sont également conservées (sessions, utilisation des fonctionnalités). Ce produit étant opéré par AppScho, toutes les modalités mentionnées dans ce document s'y appliquent.
• Via Firebase pour la fonctionnalité Messaging et des statistiques d'installation. Firebase est respectueux du RGPD et est donc compatible avec notre fonctionnement.

Tous les traitements effectués par AppScho sont effectués au sein de l'Union Européenne post-Brexit. Les pays au sein desquels AppScho opère sont la Belgique, l'Allemagne et la France, en fonction du service concerné.

Les données transmises à des tiers restent également exclusivement, dans la mesure du possible, sur le territoire européen (voir la section sur les sous-traitants pour plus d'informations).

AppScho utilise deux types de sous-traitants, ceux sous la responsabilité et soumis à des contrats commerciaux ou de partenariat avec AppScho ; et les sous-traitants en lien avec l'établissement scolaire.

Tous les sous-traitants sous la responsabilité d'AppScho (à l'heure actuelle, cela concerne exclusivement nos hébergeurs), respectent pleinement les dispositions mises en place par le RGPD.

Vous pouvez accéder aux politiques de traitement des données de nos sous-traitants ci-dessous :

• Google Cloud Platform
  • Politique de gestion des données : https://cloud.google.com/terms/data-processing-terms
• Google Firebase
  • Politique de gestion des données (messages push) : https://firebase.google.com/terms/data-processing-terms
  • Politique de gestion des données (remontée d'erreurs) : https://firebase.google.com/terms/crashlytics/
• Online.net (Iliad Group)
  • Politique de gestion des données : https://www.scaleway.com/en/terms/privacy/

L'autre type de sous-traitant comprend les services sans lien avec AppScho, souscrits par l'établissement scolaire, et dont les données doivent être inclues dans nos applications afin d'enrichir l'expérience de l'utilisateur. Ces sous-traitants peuvent, par exemple, faciliter l'accès aux logements étudiants, ou aux offres de stages et d'emploi. Ces sous-traitant sont généralement en contrat direct avec l'établissement, possible antérieurement à l'adoption d'AppScho par celui-ci.

En règle générale, nous pouvons transmettre à ces tiers des données personnelles sur un utilisateur à des fins d'authentification, afin de leur accorder l'accès ou de recueillir des données spécifique à l'étudiant en question. Cette transmission de données personnelles sera explicitée par contrat ou avenant au contrat entre AppScho et l'établissement, et sera clairement affichée à l'utilisateur lors de la demande de consentement.

De la même manière que décrite dans la section "Stockage des données", les données recueillies depuis ces sous-traitants ne sont pas stockées par AppScho lorsqu'elles sont ciblées pour un étudiant spécifique.

Des données personnelles sont également fournies par l'utilisateur à Google et Apple lors de l'utilisation de leur appareil mobile et le téléchargement de l'application AppScho sur le Play Store et l'App Store. Il s'agit ici d'une relation directe entre Google et Apple d'un côté, et l'utilisateur de l'autre. AppScho n'est donc pas responsable des données personnelles collectées par celles-ci.